【51CTO.com綜合報道】創(chuàng)建文件、惡意篡改IE主頁這些司空見慣的病毒行為，人們早已熟悉。各家殺毒軟件的掃描引擎也早就對這些敏感字符串加以監(jiān)控，只要程序中包含這些內(nèi)容就將被視為可疑文件，從而大大降低病毒的存活幾率。但"頑強"的病毒作者們總會想盡一切辦法來進行對抗。

最近，AVG中國病毒實驗室就偵測到一種新型的bat病毒，正在悄然蔓延。

與以往常見bat病毒的不同在于：此次的病毒是將內(nèi)容以十六進制形式分散寫入多個文件，然后將這些文件進行拼接組合，生成最終的惡意程序。

拼接的方法是采用copy A /b + B /b + ...（/b以二進制形式）。

將眾多"正常"文件巧妙組合成病毒文件，拼接過程中沒有出現(xiàn)明文的字符串，降低了被檢測到的幾率。

下面來看下病毒的具體行為：

1.首先在D盤下創(chuàng)建msn\gaming文件夾，設(shè)置屬性為系統(tǒng)+隱藏。

2．在桌面創(chuàng)建"淘"字樣圖標，修改IE主頁，添加導(dǎo)航網(wǎng)頁和釣魚網(wǎng)頁，自啟動。

3.拼接生成2個exe文件link.exe和Ker.exe，用于啟動tmptwo.bat, "start /min"是最小化運行，從而降低了被發(fā)現(xiàn)的幾率。

Tmptwo.bat用于啟動fuck.bat。

fuck.bat用于實現(xiàn)2的功能。(該文件也是拼接生成)

4.清理這些用于拼接的臨時文件。

在后續(xù)的變種中，為了逃避殺軟的查殺，病毒作者在原有基礎(chǔ)上做了修改。

一種是修改bat文件的頭部，加入了用于混淆的垃圾代碼。

另一種是給批處理文件加密，方法是在文件頭部加上FFEF，讓記事本一類的文本編輯器以UNICODE方式打開批處理文件，就會顯示亂碼，但Windows本身并不認為這個文件是UNICODE格式文件，依然依次執(zhí)行文件中的每條命令，批處理文件仍然能夠正常運行。

切換到十六進制模式顯示如下代碼：

如果強行在要被加密的批處理文件頭增加UNICODE文件頭FFFE，肯定會造成被加密批處理文件的第一條命令執(zhí)行錯誤，而作者，在FFFE后面加了一個0D0A，這是個回車換行命令，這樣就不會影響被加密文件第一條命令的執(zhí)行。

AVG已經(jīng)將其檢測為Bat/Agent，能有效阻止該惡意軟件。在這里，AVG不得不提醒廣大用戶，及時更新病毒庫、定時查殺，養(yǎng)成良好的上網(wǎng)習慣才是王道；另外，網(wǎng)上沖浪特別是在網(wǎng)購的時候，看好官方網(wǎng)站再登入，千萬不要被山寨網(wǎng)購網(wǎng)站所迷惑。